Vulnerabilidad en plugin WP-CRM System para WordPress (CVE-2025-14854)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
14/01/2026
Última modificación:
15/04/2026
Descripción
El plugin WP-CRM System para WordPress es vulnerable a acceso no autorizado debido a la falta de comprobaciones de capacidad en las funciones AJAX wpcrm_get_email_recipients y wpcrm_system_ajax_task_change_status en todas las versiones hasta la 3.4.5, inclusive. Esto permite a atacantes autenticados, con acceso de nivel de suscriptor y superior, enumerar direcciones de correo electrónico de contactos de CRM (divulgación de PII) y modificar estados de tareas de CRM.
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/wp-crm-system/tags/3.4.5/includes/wcs-dashboard-task-list.php?marks=177-190#L177
- https://plugins.trac.wordpress.org/browser/wp-crm-system/tags/3.4.5/includes/wcs-functions.php?marks=942-975#L942
- https://plugins.trac.wordpress.org/browser/wp-crm-system/tags/3.4.6/includes/wcs-functions.php?marks=942-975#L942
- https://www.wordfence.com/threat-intel/vulnerabilities/id/da607df4-1dbb-4b1e-ace6-b339cf9e8512?source=cve